Notificando a Foxit sobre Problemas de Segurança

Segurança de Documentos

Foxit PDF Editor permite que autores de documentos criem documentos PDF e apliquem várias medidas de segurança, incluindo criptografia, controle de acesso, assinaturas digitais e redação (remoção permanente de conteúdo). A facilidade de uso e a potência dessas funcionalidades fornecidas pelo Foxit PDF Editor permitem que usuários individuais e organizações mantenham efetivamente suas informações privadas e confidenciais.

Criptografia

Os padrões de segurança suportados pelo Foxit PDF Editor incluem:

• Advanced Encryption Standard (AES) de 256 bits
• ARC-FOUR Encryption Standard (ARC4) de 128 bits

Controle de Acesso

Os usuários do Foxit PDF Editor podem compartilhar documentos facilmente aplicando senhas para impedir visualização não autorizada. Além disso, eles podem especificar controle de acesso nos documentos para impedir efetivamente alterações, restringir a impressão ou modificar documentos.

Assinaturas Digitais

Com o Foxit PDF Editor, os usuários podem assinar digitalmente documentos facilmente, usando o conjunto mais amplo de certificados digitais. Isso é possível graças à integração apertada com o sistema operacional subjacente, permitindo que qualquer certificado reconhecido pelo sistema operacional seja utilizado pelo Foxit PDF Editor. Uma vez assinado corretamente, a assinatura digital está exclusivamente vinculada e capaz de identificar o assinante. O certificado do assinante é criptograficamente vinculado ao documento durante o processo de assinatura usando a chave privada exclusivamente detida por esse assinante. Essas assinaturas digitais seguem o padrão PDF aberto e são validadas pelo Foxit PDF Editor, juntamente com a autenticidade dos documentos que assinaram, por meio de uma troca de informações de protocolo criptográfico com as autoridades de certificação.

Redação

O conjunto de ferramentas de redação no Foxit PDF Editor ajuda os usuários a proteger suas informações sensíveis ou confidenciais. Com as ferramentas de redação, os usuários podem remover permanentemente informações textuais e gráficas dos documentos. Uma vez redigido, não há informações residuais no documento que possam ser recuperadas de qualquer forma.

Segurança de Aplicações

Além da segurança de documentos, nós da Foxit reconhecemos que o software em si pode ser um alvo de ataques, por isso levamos muito a sério a segurança de nossas aplicações. Como tal, adotamos há muito tempo medidas e processos que são as melhores práticas do setor para garantir a segurança de nossas aplicações, e também introduzimos recursos e funcionalidades no software em si para que os usuários possam se proteger ainda mais em situações especializadas.

Melhores Práticas de Segurança

Todas as soluções PDF da Foxit são desenvolvidas sob supervisão de um processo interno que incorpora várias melhores práticas do setor. Essas práticas de engenharia de software cobrem design, desenvolvimento, teste e verificação. Nós também simulamos vetores de ataque conhecidos em ambientes automatizados, garantindo que vulnerabilidades de segurança sejam descobertas e remediadas imediatamente no processo de desenvolvimento interno. Além disso, temos uma equipe dedicada de especialistas em segurança experientes, aos quais foi atribuída a responsabilidade exclusiva de monitorar, solucionar problemas e verificar a execução de todo o processo.

Execução Autorizada de JavaScript

O padrão PDF permite que fragmentos de código JavaScript sejam incorporados em arquivos PDF. Esses fragmentos de código são dinâmicos por natureza e podem ser executados quando os usuários visualizam documentos PDF. Essa execução pode ter efeitos adversos para o usuário e pode ser considerada uma preocupação de segurança em organizações com padrões de segurança de alto nível. Para garantir a segurança completa em tais situações, o Foxit PDF Editor e o Foxit PDF Reader permitem que a execução de JavaScript seja desabilitada para usuários individuais ou para toda a organização usando o conjunto de ferramentas de implantação empresarial do Foxit PDF Editor e Foxit PDF Reader.

Prevenção de Ataques Cross-Domínio

A Foxit reconhece os riscos inerentes associados ao acesso a recursos cross-domínio, uma disposição do próprio padrão PDF, mas às vezes usada por atacantes para buscar fragmentos de código malicioso ou outros recursos no sistema de um usuário. Como tal, tanto o Foxit PDF Editor quanto o Foxit PDF Reader desativaram esse acesso por padrão e advertem os usuários para não habilitar essa opção, exceto em um ambiente onde a segurança possa ser completamente garantida por outros meios.

Alertas de Segurança

Para certos arquivos PDF avançados que precisam executar operações avançadas no ambiente do usuário, o Foxit PDF Editor ou o Foxit PDF Reader podem determinar que algumas dessas operações apresentam risco maior e alertarão o usuário e buscarão uma confirmação antes de prosseguir com essas operações. Exemplos incluem:

• Invocando acesso cross-domínio
• Executando certos tipos de métodos JavaScript
• Injetando dados
• Injetando scripts
• Reproduzir mídia multimídia herdada embutida.

Esses alertas são implementados para serem o menos intrusivos possível para o usuário, permitindo que o usuário confie no documento e, portanto, pule todas as confirmações adicionais.

A Foxit tem uma relação de trabalho muito próxima com grupos de pesquisa de cibersegurança e indivíduos para descobrir e corrigir ativamente vulnerabilidades encontradas em produtos Foxit. (Por exemplo, Zero Day Initiative (Trend Micro), Cisco Talos e profissionais como mr_me). A tecnologia Foxit é usada por gigantes da tecnologia como Google, Microsoft e Amazon. Nestes projetos, a tecnologia usada no Foxit PDF Reader/Foxit PDF Editor foi rigorosamente inspecionada por clientes e inspetores de segurança de terceiros. A Foxit tem um excelente histórico de correção de todas as vulnerabilidades encontradas dentro do prazo recomendado pelos pesquisadores de segurança. O tempo médio de correção (~90 dias) é melhor do que a média do setor (100~120 dias). A Foxit tem uma equipe dedicada de resposta à segurança em serviço 24/7 para monitorar e responder a problemas de segurança críticos. A Foxit também tem um procedimento de "caminho verde" para patches de segurança críticos.

Segurança na Nuvem

Os serviços de nuvem fornecidos pela Foxit aprimoram as capacidades e a experiência do usuário da solução Foxit End User Productivity. Esses serviços são constantemente monitorados quanto à disponibilidade, desempenho e segurança.

Segurança do Data Center

Todos os serviços de nuvem da Foxit são gerenciados pelo nosso provedor de serviços de nuvem confiável, Amazon Web Services (AWS), que é um data center ANSI tier-4, e mantém controles rigorosos sobre o acesso ao data center, tolerância a falhas, controles ambientais e segurança. Apenas funcionários da Foxit aprovados e autorizados, funcionários do provedor de serviços de nuvem e contratantes com uma área de negócio legítima e documentada podem acessar o local seguro em Virginia, EUA, Frankfurt, Alemanha e Montreal, Canadá.

Criptografia de Dados e Privacidade

Os serviços de nuvem da Foxit são projetados com privacidade e segurança como alta prioridade. Todas as transmissões de informações entre os usuários e os serviços de nuvem da Foxit são totalmente protegidas com criptografia AES de 256 bits sobre o protocolo de transporte HTTPS.

Funcionários da Foxit e fornecedores confiáveis só acessam dados de clientes para executar certas funções comerciais e de suporte, ou conforme exigido por lei. A Foxit não fornece a nenhum governo acesso direto ou sistemático aos dados de clientes que armazenamos.

Operação Off-Grid

A Foxit oferece aos usuários e organizações a opção de operar o software em modo "off grid" completo, onde nenhum acesso a serviço de nuvem será realizado pelo software instalado pelos usuários. Essa capacidade oferece flexibilidade adicional de implantação e operacional para organizações com alto nível de necessidades de segurança.

Implantação e Administração

Reforço de Segurança

Ao oferecer capacidades e opções de configuração relacionadas à segurança, como desabilitar a execução de JavaScript, acesso a recursos cross-domínio e habilitar a operação "off grid", a Foxit tornou seu software mais robusto contra ataques e pode reduzir ou eliminar a necessidade de atualizações de segurança fora de banda, bem como reduzir a urgência de atualizações programadas regularmente. Isso leva a flexibilidade operacional, bem como a redução do Custo Total de Propriedade (TCO), especialmente em grandes organizações com alto nível de requisitos de segurança.

Suporte a Citrix e Virtualização de Aplicações

O Foxit PDF Editor suporta Citrix XenApp, Citrix XenDesktop, Microsoft App-V e outros ambientes de virtualização. Isso permite que as organizações forneçam efetivamente acesso remoto seguro aos usuários.

Suporte a Windows Server Group Policy Objects

Os Windows Server Group Policy Objects (GPO) permitem que administradores de TI automatizem o gerenciamento 1-para-muitos de sistemas de computador. O Foxit PDF Editor suporta modelos certificados Microsoft Active Directory Administrative (ADM) para Group Policy, permitindo que o administrador forneça instalação de software sob demanda e reparo automático de aplicativos.

Suporte a Microsoft SCCM e SCUP

O Foxit PDF Editor e o Foxit PDF Reader também suportam o Microsoft System Center Configuration Manager (SCCM) para garantir que os desktops Windows estejam sempre atualizados com patches de segurança.

Além disso, o suporte a catálogos do Microsoft System Center Updates Publisher (SCUP) permite que administradores de TI automatizem atualizações nas instalações de software do Foxit PDF Editor e Foxit PDF Reader em toda a organização.